Ransomware - jak się zabezpieczyć

[mlik]

Witam,

 

Proszę was o pomoc w dobraniu odpowiednich narzędzi zabezpieczających przed tego typu infekcjami. Mam klientów, u których zaobserwowałem ostatnio infekcję typu ransomware: cry36, BTCWare Master. Reguła jest taka sama - klienci otrzymują wiadomości e-mail z załącznikiem, który po otwarciu szyfruje wszystkie dane na dysku. Wiem, że nie ma 100% zabezpieczenia na tego typu szkodliwe oprogramowanie, jednak chcę zminimalizować ryzyko kolejnych infekcji. Z tego co zaobserwowałem, to najsłabszym ogniwem jest serwer pocztowy, który przepuszcza bardzo dużo wiadomości SPAM lub wiadomości zawierające podejrzane pliki. Z tego forum dowiedziałem się o podstawowych zasadach bezpieczeństwa, przy tego typu infekcji, czyli aktualizowanie na bieżąco systemu, instalacja oprogramowania zabezpieczającego wraz z filtrem antyspamowym oraz tworzenie kopii na dysk zewnętrzny. 

 

U klienta wdrożyłem już oprogramowanie zabezpieczające ESET Endpoint Security, włączyłem automatyczne aktualizacje systemu Windows. W najbliższych dniach będę instalował dysk NAS, na którym będzie wykonywana kopia zapasowa całego dysku. Z ochroną od strony poczty mam problem. Myślałem o wdrożeniu konkretnego rozwiązania czyli instalacji MS Outlook z zintegrowanym filtrem antyspamowym ESETa, jednak nie jestem przekonany co do jego skuteczności. Proszę was o sugestię, jak można zabezpieczyć pocztę przed tego typu wiadomościami. 

 

Pozdrawiam,

mlik

[trip017]

Dotąd nie natrafiłem na metodę zabezpieczenia się przed ransomware. Ryzyko można zmniejszać, wg mnie najskuteczniejszą metodą jest tutaj filtr dostępu do stron internetowych, który możesz ustawić w Eset Smart Security (a więc i zapewne także Endpoint Security). Wówczas użytkownik ma dostęp jedynie do konkretnych, ustalonych w firmie stron internetowych - np. nie ma dostępu do facebooka, gdzie bywały akcje ransomware. Taka blokada zadziała również gdy użytkownik otrzyma maila z załącznikiem, gdzie jest podany adres, na który trzeba wejść aby poznać szczegóły i następuje infekcja.

Skup się na minimalizowaniu skutków infekcji. Załóż, że dziś ktoś zainfekował się  ransomware i sprawdź czy, jakie dane, w jakim czasie jesteś w stanie odzyskać oraz z kiedy posiadasz ostatnią kopie (czy jest to świeża kopia czy sprzed pół roku).

Uważaj na NASa -  ransomware działa w ten sposób, że szyfruje dane na komputerze i na dyskach sieciowych (podmontowanych na zainfekowanym systemie i niepodmontowanych, ale ogólnie dostępnych w sieci). Na NAS ustaw najlepiej serwer FTP z jakimkolwiek logowaniem i w ten sposób przesyłaj na niego kopie.

Ja stosuję codzienne, nocne kopie na NAS + co miesięczne zgranie danych na dysk zewnętrzny podłączany tylko na czas zgrania kopii.

Ciekawa obserwacja to taka, że  ransomware nie szyfruje plików z rozszerzeniem "NIESZYFRUJ". Może trzymaj kopie w plikach z takim rozszerzeniem. Chodzi o to, że  ransomware szyfruje dane posiadające konkretne, popularne rozszerzenia. 

Poza tym pamiętaj o aktualizowaniu oprogramowania na bieżąco, w tym Windows, przeglądarka internetowa (chrome chyba potrafi się sam aktualizować), Java, Flash. Zweryfikuj czy na pewno użytkownicy potrzebują Javy i Flasha. 

[mlik]

Dzięki za odpowiedź.

 

Tak jak wspomniałem, zaobserwowałem, iż źródło infekcji to przede wszystkim poczta e-mail. Niestety nie mogę zmienić serwera pocztowego, bo jest on narzucony przez centrale sieci sklepów spożywczych. Ciekawe jest to, że ostatnio zmieniali serwer pocztowy, a mimo wszystko klienci w dalszym ciągu otrzymują podejrzane wiadomości. Zależy mi na wdrożeniu najlepszego rozwiązania, aby uniknąć tego typu infekcję.

 

W moim przypadku został zainfekowany komputer na którym była baza danych MS SQL. Pierwszy raz, miałem taki przypadek, że zaszyfrowało właśnie pliki bazodanowe. Do tej pory zauważyłem, że jeśli baza jest w użyciu, wirus pomija te pliki. Uratowała mnie kopia, która codziennie wysyłana jest przez oprogramowanie Cobian na zewnętrzny serwer FTP. Co ciekawe, komputer, który został zaszyfrowany nie jest używany, ale szybko stwierdziłem, że wirus rozprzestrzenił się przez zamapowany folder sieciowy.

 

Co do dysku NAS planuje codzienne tworzenie kopii zapasowej całego systemu, przez narzędzia systemu Windows, oraz myślałem o wykorzystaniu oprogramowania dołączonego do dysku sieciowego, aby zapisywał migawki plików. Zastanawiam się nad dyskiem producenta Synology oraz Qnap.

 

Proszę was o opinie co do rozwiązań, aby zminimalizować ryzyko infekcji.

 

Pozdrawiam,

mlik